Dans les grandes lignes
Si on résume grossièrement les piratages de site, c'est très simple : aussi sécurisé un serveur peut être (cloud ou non) il est piratable et il y a des milliers (dizaine de milliers ? centaines de milliers ?) de serveurs piratés chaque jour.
Il y a des piratages pas trop grave – le site personnel d'une personne lambda qui diffusait quelques infos sur sa passion. Il y a des piratages plus grave – comme un site d'une association avec quelques adresses postales et quelques adresses mails. Il y a des piratages très grave – des gros sites comme des assurances ou des banques. Il y a des piratages auxquels on ne pense pas et qu'on ne saura sans doute jamais quand ils ont lieux – comme Google, Facebook, Microsoft ou Apple.
Dans tous les cas le constat est simple : plus on a un gros site plus il y a de tentative de piratage et donc potentiellement de fuite de donnée. On peut se protéger de la plupart des grosses failles, mais on en loupera forcément.
Pourquoi les hackers hackent ?
Quand on a des serveurs connectés à Internet forcément il y a des tentatives de piratage, mais pourquoi ?
La réponse de base mais qui dérange : ça amuse des gens. En vrai c'est sans doute une grosse par des tentatives de piratage. Des adolescents qui découvrent un peu ce qu'il se passe sous le capot et qui trouve marrant de voir si des failles existent sur les sites qu'ils utilisent tous les jours ou sur des sites un peu au hasard. Il n'y a pas vraiment de raison, juste ça les amuse, un peu de frisson comme on entend parfois des gens raconter qu'enfant ils ont volés des bonbons dans une boulangerie ou dans une grande surface.
La réponse plus classique c'est pour le plaisir de casser des services. Je pense qu'en vrai c'est sans doute le moins courant mais cette tranche de pirate existe. Leur but c'est juste cassé ce qui peut être cassé et c'est tout. Il y a aussi des gens qui cassent des services pour des revendications, je pense par exemple au cas d'Anonymous.
La réponse la plus inquiétante est : faire de l'argent. Dans l'idée on se dit que c'est idiot et qu'il n'y a pas d'argent à se faire. Mais c'est faux. Ça dépend surtout du niveau d'accès que le pirate a obtenu. S'il a accès complètement à la machine, il tentera sans doute d'utiliser la machine pour un autre usage : minage de bitcoin (très courant), machine zombies pour faire du spam/phishing (envoyer des e-mails à des listes d'adresse) ou d'autres attaques du genre. On peut aussi penser aux rançons avec la possibilité parfois de bloquer l'accès au site et de rendre l'accès contre quelques bitcoins (dites vous qu'1 bitcoin oscille entre 4000 et 10 000€ en fonction des mois/années). Si l'accès est juste limité à une base de données ce qui va être recherché c'est sans doute des données personnelles qui vont être pris et vous n'imaginez pas l'argent qu'on peut se faire avec des grosses listes d'adresse mail avec nom et prénom, optionnellement les mots de passes mais même pas forcément.
Gagner de l'argent avec des données
Sur le dark web (je ne rentre pas dans le détail mais ne vous dites pas que c'est un endroit sombre où seul les méchants vont pour vendre des armes et de la drogue, c'est une zone de l'Internet comme une autre, juste vous ne la trouverez pas sur Google) vous pouvez trouver des équivalents d'ebay où sont vendus des listes d'adresse mails. Souvent pas très cher (il me semble de Collection #1 (une des plus grosses collections de données perso jamais diffusée) se vendait dans les $50) mais le but c'est surtout de faire beaucoup de vente pour gagner en notoriété.
L'intérêt pour les acheteurs est souvent de faire des attaques plus directes qui vont cibler les gens qui ne maîtrisent pas très bien le numérique et qui ne verront pas de phishing dans un faux mail de CPAM ou Pôle Emplois qui leur demande leur numéro de carte bleu pour une raison X ou Y.
Si la base contient des mots de passes, on peut aussi imaginer que le couple email/mot de passe sera testé sur facebook ou pour l'accès à la boite mail (si vous avez une gmail sur gmail, une hotmail sur outlook, etc.) comme la plupart des gens utilisent le même mot de passe-partout.
Et comment je sais que mes données ont été hacké ?
Dans la majorité des cas on ne peut pas. Tout simplement parce que rien n'oblige personne à vous prévenir qu'un piratage a eu lieu, même si c'est courant. Il peut même arriver que les administrateurs ne s'en rendent même pas compte.
Il existe tout de même une technique assez simple pour savoir si des données à nous ont fuités. Cette technique c'est de s'inscrire sur https://haveibeenpwned.com/.
L'idée derrière est très simple : le site géré par Troy Hunt (un développeur) qui a décidé de recenser autant de fuite de données que possible pour prévenir les gens qui sont concernées. L'idée n'est pas de spammer gratuitement tous les gens, mais si vous vous inscrivez, vous recevez un mail à chaque fois qu'ils trouvent votre mail dans une base de donnée qui a fuité et dont ils ont eu connaissance. Vous pouvez aussi vérifier manuellement de temps en temps sur le site.
On peut aussi tester ses mots de passes, histoire de savoir si on a un mot de passe qui a déjà fuité. Dites vous que même si ce n'est pas par vous qu'il a fuité, des listings de mots de passes qui ont fuités sont utilisés pour faire des hacks, donc un mot de passe a nous dans ces bases implique qu'il n'est plus sûr.
Attention quand même ! Il faut bien comprendre que ne pas être prévenu par Have I Been Pwned ne veut pas dire qu'on n'a pas subit de piratage, mais que Troy Hunt n'a pas eu connaissance de fuite de donnée vous concernant. Mais c'est mieux que rien.
Que faire quand je sais que j'ai des données qui ont fuité ?
La première chose à faire : changer de mot de passe sur le site en question. Puis étape qui peut être longue : changer de mot de passe-partout où vous utilisez le même mot de passe. Rien que ça, ça vous évitera pas mal de problème.
Ensuite être vigilant :
- aux mails de notification de connexion qui vous semblent bizarre
- aux mails qui vous semblent ne pas venir des vrais services (parce exemple un impayé chez SFR si vous n'avez aucun contrat chez eux)
- vérifier qu'aucun message n'apparait sur vos comptes de messagerie (par exemple si un message est envoyé à un de vos contacts facebook sans que vous n'ailliez envoyé ce message)
Conclusion
Le but de cet article n'est clairement pas de vous pointer du doigt pour toutes vos erreurs de sécurités. On fait tous des erreurs au niveau de la sécurité. L'idée c'est plutôt de vous parler d'un outil que tout le monde devrait connaître pour vous aider à faire un peu mieux. 😉